Ouvrir le menu principal

MacGeneration

Recherche

Apple ne sait rien de cette faille de sécurité touchant le trousseau d’accès de macOS

Mickaël Bazoge

mercredi 06 février 2019 à 16:37 • 33

macOS

La faille de sécurité découverte par Linuz Henze est remarquable à plus d’un titre. Tout d’abord, elle permet de subtiliser les identifiants et les mots de passe stockés dans les Trousseaux d’accès de Mojave, sans que le malandrin ne possède le mot de passe admin de l’utilisateur. Dans la vidéo ci-dessous, le chercheur exploite la brèche grâce à KeySteal, un petit logiciel développé pour l’occasion. Il parvient à récupérer les données présentes dans les trousseaux Session et Système (mais pas dans le trousseau iCloud, immunisé).

La vulnérabilité, qui concerne aussi les Mac protégés avec SIP, n’a pas besoin des informations de contrôle d’accès du trousseau. Une vraie belle faille en somme, mais — et c’est l’autre aspect notable de cette découverte —, Linuz Henze n’a aucune intention d’en révéler les détails à Apple comme c’est pourtant l’usage.

Le spécialiste de la sécurité, qui n’en est pas à sa première trouvaille, entend ainsi protester contre le fait qu’Apple n’a pas de programme de chasse aux bugs pour macOS. Le « bug bounty » administré par le constructeur ne propose de récompenses qu’aux découvreurs de failles iOS.

Ce programme a d’ailleurs du plomb dans l’aile, c’est un club très fermé dont les sommes sont jugées insuffisantes en regard d’initiatives tierces bien plus rémunératrices (lire : Le programme de chasse aux bugs d'Apple fait un flop). Apple doit d’ailleurs revoir la gestion et le traitement des rapports de bugs suite à l’imbroglio de la faille FaceTime. macOS sera peut-être pris en compte à cette occasion.

Pour se prémunir en attendant un correctif qu’Apple aura du mal à fournir par manque d’information, il est toujours possible de verrouiller le trousseau Session (clic droit sur le trousseau), mais cela va multiplier les demandes de saisie du mot de passe dans macOS.

Source :

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Test du Twelve South AirFly Pro 2 : pour s’enfiler en l’air

11:00

• 2


Sortie de veille : un MacBook avec une puce d’iPhone, attrape-nigaud ou coup de génie ?

08:00

• 11


Un dirigeant de Microsoft conseille aux plus de 9 000 employés licenciés de se faire aider par l’IA

04/07/2025 à 22:00

• 86


Apple fait ses emplettes dans les start-up, entre avatars virtuels et monitoring de l’IA

04/07/2025 à 21:00

• 1


Un premier pas vers le jailbreak de la Touch Bar : le système démarre en mode verbose

04/07/2025 à 17:45

• 16


MacBook Air M2 à 750 € ou Mac Studio M2 Max à 1 300 € ? Entre portable et fixe, il faut choisir

04/07/2025 à 15:22

• 25


Un (faux) traceur GPS sur les cartons des MacBook Air, pour dissuader les livreurs de les voler

04/07/2025 à 13:02

• 75


Un site web pour décoder les pages sauvées en .webarchive par Safari

04/07/2025 à 11:00

• 2


Ulanzi présente une station d'accueil au look de petit Mac Pro

04/07/2025 à 10:15

• 17


Promo : une batterie chameau de 27650 mAh capable de recharger Mac et iPhone à 114 € (-56 €)

04/07/2025 à 09:18

• 13


Développeurs : Technotes ajoute des notes de la communauté sur la documentation d’Apple

04/07/2025 à 08:33

• 5


L’iPhone redécolle en Chine, le Mac cartonne aux États-Unis : Apple souffle un peu avant les trimestriels le 31

04/07/2025 à 07:52

• 40


Apple a creusé l’idée de proposer des services de cloud computing aux développeurs pour concurrencer AWS

03/07/2025 à 21:45

• 46


Apple sort des fonds d’écran aux couleurs de son nouvel Apple Store à Osaka

03/07/2025 à 21:00

• 10


Test du ViewSonic ColorPro VP2788-5K : 27″, 5K et DCI-P3 pour le prix d’un demi-Studio Display

03/07/2025 à 20:30

• 10


Guerre commerciale : les produits fabriqués au Vietnam voient leur taxe multipliée par cinq

03/07/2025 à 20:20

• 27